При увольнении, разумеется, как и предписано стандартами, все его аккаунты заблокировали и удалили. Он воспользовался дыркой не "на выходе", а "на входе". Сильно заранее, примерно за год до увольнения этот инсайдер завёл пару аккаунтов на вымышленных работников. Процедура приёма на службу была не столь строгой, как процедура увольнения.
Когда вечером начался погром, безопасники некоторое время не могли сообразить, кто это шалит. Предположили, что кто-то сломал или заразил ноутбук беспечного сотрудника. Утром кинулись этого сотрудика искать по офису, чтобы опросить. И далеко не сразу поняли, что здесь такого нет и никогда не было. Но учётная запись ему была заведена и токен с ключами для VPN был выдан. Причём, выдавали сами же безопасники, по существующей процедуре.
А вы у себя в хозяйстве инвентаризацию персонала давно проводили?